Проблемы мира IoT
Мое знакомство с миром IoT началось с лампочки, которую я купил. Мне стало интересно, как она устроена. Я посмотрел и разочаровался. А может, и очаровался, не знаю. Дело в том, что в этой лампочке была странная штука. У нее было мобильное приложение, в качестве логина она использовала свой MAC-адрес, а в качестве пароля — код, который, как выяснилось потом, был одинаковым у всех. Можно было подобрать MAC-адрес и спокойно управлять другими лампочками. Самое интересное, что пароль было очень сложно поменять — нужно было перепрошить лампочку. Еще один интересный момент в мире IoT — веб-камера, которую мы настраивали. IP-камера, которая торчит в интернете с внешнего IP. Она не предлагает поменять данные, то есть там стандартный логин и пароль. Этот IP торчал в интернет и всех это устраивало. Я думал, что это нормально и вполне возможно, что никого, кроме меня, это не заинтересует. Но появился такой человек, который обратил на это внимание, — Парас Джа, разработчик Mirai, крупнейшего ботнета в истории.
Парас Джа — один из авторов опаснейшего ботнета Mirai. В 2016 году Джа вместе с двумя друзьями-студентами Далтоном Норманом и Джозая Уайтом вывели из строя множество крупных сайтов. Поначалу студенты хотели подзаработать на онлайн-игре Minecraft, однако позднее осознали всю мощь их самодельного ботнета. Кроме того, следствие установило, что в ноябре 2014 года Джа неоднократно устраивал атаки на серверы своего университета, выводя их из строя как минимум четыре раза. При DDoS-атаках Джа не преследовал финансовые цели: в одном случае он хотел отложить регистрацию специалистов для продвинутого курса информатики, в другом — перенести важный экзамен на другую дату.
Авторы Mirai избежали тюремного заключения. Создатели ботнета получили по пять лет испытательного срока и 2,5 тыс. часов общественных работ. Кроме того, студентов заставили выплатить $127 тыс. и отказаться от крупных сумм в криптовалюте. Джа получил дополнительный приговор за запуск DDoS-атак, согласно которому он обязан провести шесть месяцев под домашним арестом и заплатить $8,6 млн.
Ботнет — это связь огромного количества устройств, чтобы совершать DDoS-атаки. Mirai, который бушевал в 2006 году, включал в себя 250 тыс. устройств. В основном это были IP-камеры, благодаря которым были устроены несколько целевых атак. Самая крупнейшая из них — на европейский провайдер OVH, он включал в себя 152 тыс. устройств. Эта атака была со скоростью 1 ТБ/с, конечно же, он не выдержал и упал. Этого парня начали искать, потому что он нанес огромный ущерб. Когда он осознал, что его могут поймать, залил в сеть все исходники этого Mirai. Все люди, зашедшие на форум, могли скачать и на этой базе создавать собственные ботнеты. Он хотел замести следы, у него это получилось. Но его все равно поймали. Ему дали условный срок, а недавно появилась довольно забавная новость о том, что он начал сотрудничать с ФБР. Такая судьба часто ждет хакеров, и это грустно.
Прошлое и настоящее IoT-вредоносов
Первый кейс, в далеком 2008 году, — это ботнет Hydra. Первый прототип IoT-вредоноса. Работал примерно по такому же принципу, что и Mirai. Он использовал уязвимости, связанные с определенным классом устройств, делал брутфорс, подбирал стандартные логин и пароль, и таким образом набирал в себя ботнет из устройств. Как только это начало развиваться, его разработчики опубликовали это все в открытый доступ, исходные коды, и последующие ботнеты использовали этот код, который в 2008-м выложили для Hydra.
После появился ряд более масштабных ботнетов, использующих примерно схожую архитектуру.
-
2009 год –– Psyb0t, 80 000 устройств. Первое в своем роде бинарное вредоносное ПО, заражающее сетевые устройства. -
2010 год –– Tsunami. Кросс-платформенный IRC-backdoor. -
2014 год –– BASHLITE. Кросс-платформенный IRC-backdoor с функцией сканирования диапазонов IP-адресов в поисках уязвимостей. -
2015 год –– Linux.PNScan. Троян под Linux атаковал устройства с архитектурами ARM, MIPS и PowerPC путем установки бэкдоров. -
2016 год –– Mirai, 250 тыс. устройств.
Среди всего этого многообразия выделяется –brakerbot. Его главной целью было не ддосить, не майнить, а ломать устройства. Он устанавливал, ломал устройство и превращал его в кирпич. Перезаписывал какие-то части прошивки и после этого устройство становилось нерабочим. Когда его стали часто спрашивать, ради чего он это делает, разработчик написал анонимно на одном из форумов, что его цель очень проста — показать, что IoT небезопасно. Я не очень поддерживаю такой способ донести миру об этой проблеме, но все же.
Брутфорс, Brute force — так называется метод взлома различных учетных записей, путем подбора логина и пароля.
Устойчивость к брутфорс-атаке определяет используемый в криптосистеме ключ шифрования. С увеличением длины ключа сложность взлома этим методом возрастает экспоненциально. В простейшем случае шифр длиной в N битов взламывается, в наихудшем случае — за время, пропорциональное 2N. Среднее время взлома в этом случае в два раза меньше и составляет 2N-1. Существуют способы повышения устойчивости шифра к брутфорсу, например, запутывание шифруемых данных, что делает нетривиальным отличие зашифрованных данных от незашифрованных.
После этого ботнеты пошли дальше и появился VPN-фильтр. Его почему-то связывают с украинским следом. Потому что он сосредоточивался на территории бывшего СНГ, включал около 500 тыс. устройств. И мне очень нравится то, как он архитектурно был продуман. Ботнет-вирус, который был сделан очень круто. Он не выживал после перезагрузки, а каким-то образом добавлял себя в крон, прописывал, и можно было после перезагрузки запустить заново, он не пропадал. Например, тот же самый Mirai, если он был установлен на роутере или IP-камере, после перезагрузки камеры переставал работать, потому что оседал в оперативной памяти. Когда ботнет заражает устройство, это маленький файл и устройство, которые не могут нанести существенного вреда. Поэтому разработчики придумали следующую схему — они загружали фотографии на сток Photobucker и вшивали туда метаданные. Эти метки были не случайными, их сгенерили таким образом, чтобы потом можно было разобрать и из них составить IP-адрес головного сервера. Если это не срабатывало, то он использовал примерно ту же схему на другом стоке и использовал backup-варианты и дополнительные плагины на устройства, которые позволяли не расходовать весь трафик и сохранять какие-то исходные данные. Потом они либо передавали на головной сервер, так или иначе хранили и обменивались этими данными. Один из главных плагинов, позволяющих так делать, это сниффер.
EXIT-метаданные (шесть целочисленных значений для широты и долготы GPS) картинки, загруженной на Photobucket или Toknowall, используются для определения и вызова нужного IP.
-
Backup 1. Tocknowall.com используется для загрузки картинки, если загрузка на Photobucket не удалась. -
Backup 2. Если загрузка на Tocknowall также не удалась, то запускается listener, который ожидает получение нужного пакета для прямого подключения. -
Плагины TOR, P.S, Others.
Почему IoT-устройства уязвимы
Цель государств, которые производят в большом количестве IoT-устройства, заработать много денег. Естественно, для того, чтобы заработать больше денег, нужно выпускать больше устройств и меньше тратить на какие-то дополнительные работы, в частности, связанные с операционной безопасностью. Поэтому у нас очень много устройств, которые уязвимы, удаленно их невозможно обновить.
Рынок интернета вещей — большой и настоящий мир, который оценивается в миллиард долларов. Количество устройств растет — на сегодняшний день 23 млрд устройств, а к 2030-му планируются 125 млрд. Я верю в эти цифры, потому что каждый год появляются новые изобретения, технологии и способы использования подключаемых устройств. При этом про безопасность тоже все знают, что она очень плоха. Только от Mirai пострадало огромное количество устройств. Ущерб оценивают в $110 млн.
Угрозы интернета вещей:
-
45% организаций подвергались атакам на IoT только за июль 2018. -
Каждые две минуты IoT-устройства подвергаются атакам. -
70% IoT-устройств уязвимы для атак.
Взломы и как это происходит
Случай с Medtronic — этакий киберпанк, тебя взломали и убили через кардиостимулятор. Специалисты по безопасности выяснили такую вещь, что обновление софта происходит без сертификата и шифрования, а сами обновления не подписаны никак. По сути, есть возможность загрузить любую прошивку, изменить частоту сердцебиения, что не очень скажется на человеке, наверное. Меня больше всего расстраивает реакция производителей, когда им два года назад об этом написали, они ответили, что этот кейс такой и его сложно будет воспроизвести, и его не закрыли. Тысячи людей пользуются этими кардиостимуляторами, и они по-прежнему уязвимы.
Что нужно? Найти устройство, определить местоположение, а после обезвредить, потому что уязвимости понятны и известны, их можно так или иначе эксплуатировать.
-
Найти MAC-адрес, IP. -
Идентифицировать. Устройство, производитель, операционная система. -
Обезвредить. Эксплуатирование уязвимостей, подбор паролей, DNS rebinding, ICMP-флудинг.
Есть категория запросов, называется Google Dorks, которая позволяет по запросу найти очень интересные вещи. Вбиваешь в поисковик filetype:xls inurl:password, и по этому запросу тебе выдает огромное количество файлов, где написаны логины и пароли. Можно спокойно зайти, посмотреть и эксплуатировать это как-то интересно. То же самое можно делать и с IoT-устройством –– определенное расширение inurl:”img/main.cgi?next_file” вбиваешь в поисковик и можешь найти все камеры, которые торчат в интернете и их можно посмотреть.
Есть Shodan — это своего рода Google для IoT-устройств. Он индексирует по IP-адресам. Ежедневно ходит по интернету, отправляет тысячу запросов на столько же адресов, все это кэширует и индексирует, позволяя дальше делать выдачу. А сколько там IP-камер, просто заходишь и смотришь.
С помощью Shodan находили:
-
Гидроэлектростанцию. -
10 358 АСУ технологическим предприятием. -
Систему управления движением. -
Холодильные установки для катка. -
Бойлеры, автоматические ворота, миллионы камер и другое.
Есть прекрасный сайт, на котором собирают все камеры с логином и паролем по умолчанию, там целый рейтинг из этих камер. В основном это, разумеется, скучные склады, но там бывают и интересные камеры. Например, из дома престарелых в Токио.
Почему не рекомендую менять пароль
Часто на камеры или устройства ставят логин и пароль по умолчанию специально. Либо компании статистику собирают, либо госслужбы, которые ловят нерадивых хакеров. Прежде чем ломать камеры, зайдите на этот сайт www.honeyscore.shodan.io и посмотрите, не является ли эта камера honeypot.
Часто в том же самом Shodan возвращается не только IP, но и MAC-адрес. Благодаря ему мы можем понять, что это за устройство и какой у него вендор. Можно зайти на www.macvendors.com, посмотреть, кто это делал, и уже дальше от этого исходить. Нельзя забывать про старый добрый Map, где ты задаешь IP-адрес и получаешь по нему очень много информации. Какие у него порты открыты, возвращается версия операционной системы. Потом можно посмотреть тип устройства, погуглить и найти у него конкретные уязвимости и дальше их эксплуатировать. Ну или не эксплуатировать.
Есть сайты, на которых описаны уязвимости:
Стоит обратить пристальное внимание на следующие вещи:
-
Уязвимости, обнаруженные после прекращения поддержки устройства (исправлений нет и не будет). -
Уязвимости, обнаруженные совсем недавно (исправлений еще нет, но успели обновить). -
Уязвимости, общие для нескольких устройств (уязвимость протокола, сервера).
15% IoT-устройств используют дефолтный пароль — admin admin, который я показал. Они все лежат в открытом доступе, можно зайти на любую камеру, найти любой ее вид, ввести логин и пароль и использовать. Не только камеру, но и много других устройств.
Прочие «слабости»:
-
Проблемы с получением и установкой обновлений. -
Редкое любое «топорное» шифрование. -
Отсутствие проверок на право доступа. -
Отсутствие фильтрации по IP. -
Отсутствие проверки количества неверных авторизаций. -
Простое переполнение буфера. -
Открытые порты.
Производитель устройств часто забивает на обновление, потому что их сложно обновить. Проще выпустить новый класс устройств. Производитель часто думает, что тот миллион, который он выпускал, пускай будет с уязвимостями. И так это все и существует, к сожалению. Многие устройства также обновляются наживую, ты не можешь удаленно их обновить, а должен накатить прошивку. Соответственно, не все пользователи профессионалы, не все это могут делать, так или иначе большая часть остается с уязвимостями.
Есть хороший сайт owasp.org, на котором описаны все уязвимости всех классов IoT-устройств. В топ-10 уязвимостей они подробно рассказывают об уязвимостях, которые есть, и показывают, как их решать. Если вы разработчик в IoT или просто интересуетесь, то зайдите и посмотрите, как можно себе помочь. Если бы мы использовали эти десять рекомендаций, то у нашего мира не было бы таких проблем.
Много устройств –– мало поддержки и действий с целью защитить. С другой стороны, в Калифорнии в сентябре прописали закон, который обязывает всех представителей, кто использует устройство, не использовать логин и пароль по умолчанию. С 1 января 2020 в Калифорнии, если ты этого не сделаешь, то будешь оштрафован. Понятия не имею, насколько это будет эффективным, но я думаю, что это позитивная тенденция, чтобы сделать мир IoT немного безопаснее.
Отправьте нам запрос
Поиск на сайте
Наши клиенты и партнеры
Недавние публикации
- В скелете вымершего псового с патагонского погребения заподозрили останки питомца индейцев 16 апреля 2024
- Что нужно для развития в России технологий ИИ, обсудили на форуме «Открытые инновации» 16 апреля 2024
- На снимках солнечного затмения заметили огромное розовое пламя 15 апреля 2024
- Найден источник крупнейшей после Большого взрыва вспышки в космосе 12 апреля 2024
- Формирование визуомоторных ассоциаций оказалось зависимо от мозжечка 12 апреля 2024